在https化的大潮中,大多网站不是一步到位的,基于各种原因,并不会强制https访问,大多同时存在过http/https均可访问的情况。

前段时间碰到过由此引起的一个cookie传递问题,值得记录一下:

问题的表现是:在用户在https访问的情况下登录了账号,这时候如果回到http版本,则并没有登录,而且重新登录也登不上去!

与登录相关的,首先想到的当然是cookie的问题,仔细调试才发现,在https访问的情况下,设置cookie,会多带了一个secure的属性,而http访问则不会带。

这个属性是一个布尔值,真或者假,为真时表示这个cookie值只在htts的情......